{"id":1399694,"date":"2024-10-14T19:28:35","date_gmt":"2024-10-14T19:28:35","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-ataques-a-la-cadena-de-suministro-pueden-explotar-los-puntos-de-entrada-en-python-npm-y-los-ecosistemas-de-codigo-abierto\/"},"modified":"2024-10-14T19:28:39","modified_gmt":"2024-10-14T19:28:39","slug":"los-ataques-a-la-cadena-de-suministro-pueden-explotar-los-puntos-de-entrada-en-python-npm-y-los-ecosistemas-de-codigo-abierto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-ataques-a-la-cadena-de-suministro-pueden-explotar-los-puntos-de-entrada-en-python-npm-y-los-ecosistemas-de-codigo-abierto\/","title":{"rendered":"Los ataques a la cadena de suministro pueden explotar los puntos de entrada en Python, npm y los ecosistemas de c\u00f3digo abierto"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Los-ataques-a-la-cadena-de-suministro-pueden-explotar-los.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han descubierto que se podr\u00eda abusar de los puntos de entrada en m\u00faltiples ecosistemas de programaci\u00f3n como PyPI, npm, Ruby Gems, NuGet, Dart Pub y Rust Crates para organizar ataques a la cadena de suministro de software.<\/p>\n<p>&#8220;Los atacantes pueden aprovechar estos puntos de entrada para ejecutar c\u00f3digo malicioso cuando se ejecutan comandos espec\u00edficos, lo que representa un riesgo generalizado en el panorama del c\u00f3digo abierto&#8221;, dijeron los investigadores de Checkmarx Yehuda Gelb y Elad Rapaport en un <a rel=\"nofollow noopener\" href=\"https:\/\/checkmarx.com\/blog\/this-new-supply-chain-attack-technique-can-trojanize-all-your-cli-commands\/\" target=\"_blank\">informe<\/a> compartido con The Hacker News.<\/p>\n<p>La empresa de seguridad de la cadena de suministro de software se\u00f1al\u00f3 que los ataques de punto de entrada ofrecen a los actores de amenazas un m\u00e9todo m\u00e1s astuto y persistente para comprometer los sistemas de una manera que pueda eludir las defensas de seguridad tradicionales.<\/p>\n<p>Los puntos de entrada en un lenguaje de programaci\u00f3n como Python se refieren a un mecanismo de empaquetado que permite a los desarrolladores exponer cierta funcionalidad como un contenedor de l\u00ednea de comandos (tambi\u00e9n conocido como console_scripts). Alternativamente, tambi\u00e9n pueden servir para cargar complementos que aumenten las caracter\u00edsticas de un paquete.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/saas-security-2024-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727895757_55_Aplicaciones-comerciales-falsas-se-dirigen-a-victimas-en-todo-el.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Checkmarx se\u00f1al\u00f3 que si bien los puntos de entrada son una forma poderosa de mejorar la modularidad, se podr\u00eda abusar de la misma caracter\u00edstica para distribuir c\u00f3digo malicioso a usuarios desprevenidos. Algunas de las formas en que esto podr\u00eda suceder incluyen el secuestro de comandos y la creaci\u00f3n de complementos maliciosos para diversas herramientas y marcos.<\/p>\n<p>El secuestro de comandos ocurre cuando los paquetes falsificados utilizan puntos de entrada que se hacen pasar por herramientas y comandos populares de terceros (por ejemplo, aws y docker), recopilando as\u00ed informaci\u00f3n confidencial cuando los desarrolladores instalan el paquete, incluso en los casos en que se distribuye como una rueda (.whl). archivo.<\/p>\n<p>Algunos de los comandos de terceros m\u00e1s utilizados que podr\u00edan ser objetivos potenciales para el secuestro de comandos incluyen npm, pip, git, kubectl, terraform, gcloud, heroku y dotnet.<\/p>\n<p>Un segundo tipo de secuestro de comandos tambi\u00e9n puede manifestarse cuando los actores de amenazas usan nombres de comandos leg\u00edtimos del sistema (por ejemplo, touch, curl, cd, ls y mkdir) como puntos de entrada para secuestrar el flujo de ejecuci\u00f3n.<\/p>\n<p>&#8220;El \u00e9xito de este enfoque depende principalmente del orden de PATH&#8221;, se\u00f1alaron los investigadores. &#8220;Si el directorio que contiene los puntos de entrada maliciosos aparece antes en la RUTA que los directorios del sistema, el comando malicioso se ejecutar\u00e1 en lugar del comando del sistema. Es m\u00e1s probable que esto ocurra en entornos de desarrollo donde se priorizan los directorios de paquetes locales&#8221;.<\/p>\n<p>Eso no es todo. Checkmarx descubri\u00f3 que la eficacia del secuestro de comandos se puede mejorar mediante una t\u00e1ctica m\u00e1s sigilosa llamada envoltura de comandos, que implica crear un punto de entrada que act\u00faa como envoltorio alrededor del comando original, en lugar de reemplazarlo por completo.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1728934114_547_Los-ataques-a-la-cadena-de-suministro-pueden-explotar-los.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1728934114_547_Los-ataques-a-la-cadena-de-suministro-pueden-explotar-los.png\" alt=\"\" border=\"0\" data-original-height=\"529\" data-original-width=\"1039\"\/><\/a><\/div>\n<p>Lo que hace que este enfoque sea potente es que ejecuta silenciosamente el c\u00f3digo malicioso al mismo tiempo que invoca el comando leg\u00edtimo original y devuelve los resultados de la ejecuci\u00f3n, lo que le permite pasar desapercibido.<\/p>\n<p>&#8220;Dado que el comando leg\u00edtimo a\u00fan se ejecuta y su resultado y comportamiento se conservan, no hay se\u00f1ales inmediatas de compromiso, lo que hace que el ataque sea extremadamente dif\u00edcil de detectar mediante el uso normal&#8221;, dijeron los investigadores. &#8220;Este enfoque sigiloso permite a los atacantes mantener el acceso a largo plazo y potencialmente filtrar informaci\u00f3n confidencial sin levantar sospechas&#8221;.<\/p>\n<p>Otra t\u00e1ctica de ataque de punto de entrada implica la creaci\u00f3n de complementos y extensiones maliciosos para herramientas de desarrollo que tienen la capacidad de obtener un amplio acceso al c\u00f3digo base en s\u00ed, dando as\u00ed a los delincuentes la oportunidad de cambiar el comportamiento del programa o alterar el proceso de prueba para que parezca el c\u00f3digo. est\u00e1 funcionando seg\u00fan lo previsto.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-storytime-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727886513_963_CeranaKeeper-vinculada-a-China-apunta-al-sudeste-asiatico-con-filtracion.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;En el futuro, es crucial desarrollar medidas de seguridad integrales que tengan en cuenta la explotaci\u00f3n del punto de entrada&#8221;, dijeron los investigadores. &#8220;Al comprender y abordar estos riesgos, podemos trabajar hacia un entorno de empaquetado Python m\u00e1s seguro, protegiendo tanto a los desarrolladores individuales como a los sistemas empresariales contra ataques sofisticados a la cadena de suministro&#8221;.<\/p>\n<p>El desarrollo se produce cuando Sonatype, en su informe anual sobre el estado de la cadena de suministro de software, revel\u00f3 que se han descubierto m\u00e1s de 512,847 paquetes maliciosos en ecosistemas de c\u00f3digo abierto para Java, JavaScript, Python y .NET desde noviembre de 2023, un a\u00f1o salto del 156%. -durante el a\u00f1o.<\/p>\n<p>&#8220;Las herramientas de seguridad tradicionales a menudo no detectan estos nuevos ataques, lo que deja a los desarrolladores y a los entornos de construcci\u00f3n automatizados muy vulnerables&#8221;, afirma la empresa. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sonatype.com\/state-of-the-software-supply-chain\/Introduction\" target=\"_blank\">dicho<\/a>. &#8220;Esto ha resultado en una nueva ola de ataques a la cadena de suministro de pr\u00f3xima generaci\u00f3n, que apuntan directamente a los desarrolladores, evitando las defensas existentes&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/10\/supply-chain-attacks-exploit-entry.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han descubierto que se podr\u00eda abusar de los puntos de entrada en m\u00faltiples ecosistemas<\/p>\n","protected":false},"author":1,"featured_media":1399695,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[44,4657,4656,2346,4661,3580,706,4664,82594,5838,5796,201033,36,4654,201031,4659,4653,4655,7359,1125,1124,39018,246983,255454,246984,201032,2751,246982,4660],"class_list":["post-1399694","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-abierto","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-cadena","tag-codigo","tag-como-hackear","tag-ecosistemas","tag-entrada","tag-explotar","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-npm","tag-pueden","tag-puntos","tag-python","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-suministro","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1399694","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1399694"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1399694\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1399695"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1399694"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1399694"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1399694"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}